Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 80 000 euro mot Bizum S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att i september 2022 drabbades betaltjänstleverantören Bizum av ett dataintrång som berörde kontaktuppgifter och namn på mer än 20 000 registrerade, och uppgifter om cirka 2 000 registrerade publicerades online. Bizum anmälde intrånget till AEPD först i november 2023 och erkände att uppgifterna inte varit krypterade, även om själva dataintrånget löstes en månad senare.
AEPD konstaterade att Bizum överträtt artikel 32 GDPR, då det inte hade vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen. Även om Bizum snabbt blockerade en användare efter en en ovanlig ökning av förfrågningar, uppmärksammade företaget inte att uppgifterna publicerats online förrän ett år senare, och vidtog inte åtgärder för att genomföra en uppföljande utredning.
AEPD analyserade också de åtgärder som Bizum vidtagit efter ett dataintrång två år tidigare och de reaktiva åtgärder som vidtagits efter det senaste dataintrånget. AEPD ansåg dock att dessa åtgärder var otillräckliga för att garantera säkerheten vid behandlingen.
AEPD bedömde att överträdelsen var allvarlig, eftersom Bizum inte blev medvetet om offentliggörandet av uppgifterna förrän ett år senare och inte vidtog åtgärder under denna tid. Sanktionsavgiften, som ursprungligen uppgick till 100 000 euro, sänktes till 80 000 euro efter att Bizum gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.